次の方法で共有

Microsoft Purview ネットワーク アーキテクチャとベスト プラクティス

  • [アーティクル]

Microsoft Purview ガバナンス ソリューションは、データ ガバナンスのためのサービスとしてのプラットフォーム (PaaS) ソリューションです。 Microsoft Purview アカウントには、サービスに接続するためにインターネット経由でアクセスできるパブリック エンドポイントがあります。 ただし、すべてのエンドポイントは、Microsoft Entra ログインとロールベースのアクセス制御 (RBAC) によって保護されます。

注:

これらのベスト プラクティスは、 Microsoft Purview 統合ガバナンス ソリューションのネットワーク アーキテクチャに関するものです。 Microsoft Purview のリスクとコンプライアンス ソリューションの詳細については、 こちらを参照してください。 Microsoft Purview 全般の詳細については、 こちらを参照してください

セキュリティを強化するために、Microsoft Purview アカウントのプライベート エンドポイントを作成できます。 Azure の仮想ネットワークから Microsoft Purview アカウントとそのマネージド リソースにプライベート IP アドレスを取得します。 このアドレスは、仮想ネットワークと Microsoft Purview アカウント間のすべてのトラフィックを、API と Microsoft Purview ガバナンス ポータルとのユーザー操作、またはスキャンとインジェストのためのプライベート リンクに制限します。

現在、Microsoft Purview ファイアウォールは、purview アカウントのパブリック エンドポイントのアクセス制御を提供します。 ファイアウォールを使用して、すべてのアクセスを許可したり、プライベート エンドポイントを使用するときにパブリック エンドポイントを介してすべてのアクセスをブロックすることができます。 詳細については、「Microsoft Purview ファイアウォール オプション」を参照してください。

ネットワーク、接続、およびセキュリティの要件に基づいて、Microsoft Purview アカウントを設定および管理して、基になるサービスまたはインジェストにアクセスできます。 このベスト プラクティス ガイドを使用して、ネットワーク環境を定義して準備し、ネットワークまたはクラウドから Microsoft Purview にアクセスしてデータ ソースをスキャンできるようにします。

このガイドでは、次のネットワーク オプションについて説明します。

このガイドでは、Microsoft Purview の最も一般的なネットワーク アーキテクチャシナリオについて説明します。 これらのシナリオに限定されるわけではありませんが、Microsoft Purview アカウントのネットワークを計画する場合は、サービスの 制限 事項に注意してください。

前提条件

環境に最適なネットワーク オプションを理解するには、最初に次のアクションを実行することをお勧めします。

オプション 1: パブリック エンドポイントを使用する

既定では、インターネット経由でアクセスできるパブリック エンドポイントを介して Microsoft Purview アカウントを使用できます。 次の要件がある場合は、Microsoft Purview アカウントでパブリック ネットワークを許可します。

  • Microsoft Purview エンドポイントをスキャンまたは接続するときにプライベート接続は必要ありません。
  • すべてのデータ ソースは、サービスとしてのソフトウェア (SaaS) アプリケーションのみです。
  • すべてのデータ ソースには、インターネット経由でアクセスできるパブリック エンドポイントがあります。
  • ビジネス ユーザーは、インターネット経由で Microsoft Purview アカウントと Microsoft Purview ガバナンス ポータルにアクセスする必要があります。

統合ランタイム オプション

Microsoft Purview アカウント ファイアウォールがパブリック アクセスを許可するように設定されている間にデータ ソースをスキャンするには、すべての統合ランタイムの種類 (Azure 統合ランタイム、 マネージド VNet 統合ランタイムセルフホステッド統合ランタイム) を使用できます。 詳細については、「 シナリオに適した統合ランタイム構成を選択する」を参照してください

ベスト プラクティスを次に示します。

  • 必要に応じて、Azure 統合ランタイムまたはマネージド VNet 統合ランタイムを使用してデータ ソースをスキャンし、コストと管理オーバーヘッドを削減することをお勧めします。

  • 次の手順では、Azure 統合ランタイムを使用してデータ ソースをスキャンする場合の通信フローの概要を示します。

    Microsoft Purview、Azure ランタイム、およびデータ ソース間の接続フローを示すスクリーンショット。

    注:

    この図は、2023 年 12 月 15 日以降に作成された Microsoft Purview アカウント (または API バージョン 2023-05-01-preview 以降を使用してデプロイ) にのみ適用されます。

    1. 手動または自動スキャンは、Azure 統合ランタイムを介してMicrosoft Purview データ マップから開始されます。

    2. Azure 統合ランタイムは、データ ソースに接続してメタデータを抽出します。

    3. メタデータは Microsoft Purview インジェスト ストレージ アカウントにキューに入れ、一時的にAzure Blob Storageに格納されます。

    4. メタデータは、Microsoft Purview データ マップに送信されます。

  • オンプレミスと VM ベースのデータ ソースをスキャンするには、常にセルフホステッド統合ランタイムを使用する必要があります。 Azure 統合ランタイムは、これらのデータ ソースではサポートされていません。 次の手順では、セルフホステッド統合ランタイムを使用してデータ ソースをスキャンする場合の通信フローの概要を示します。 最初の図は、リソースが Azure 内または Azure 内の VM 上にあるシナリオを示しています。 2 番目の図は、オンプレミス リソースを使用したシナリオを示しています。 2 つの間の手順は、Microsoft Purview の観点からは同じです。

    Microsoft Purview、セルフホステッド ランタイム、およびデータ ソース間の接続フローを示すスクリーンショット。

    Microsoft Purview、オンプレミスのセルフホステッド ランタイム、およびオンプレミス ネットワーク内のデータ ソース間の接続フローを示すスクリーンショット。

    1. 手動または自動スキャンがトリガーされます。 Microsoft Purview は Azure Key Vault に接続して、データ ソースにアクセスするための資格情報を取得します。

    2. スキャンは、セルフホステッド統合ランタイムを介してMicrosoft Purview データ マップから開始されます。

    3. VM またはオンプレミス マシンからのセルフホステッド統合ランタイム サービスは、データ ソースに接続してメタデータを抽出します。

    4. メタデータは、セルフホステッド統合ランタイムのマシンのメモリ内で処理されます。 メタデータは Microsoft Purview インジェスト ストレージにキューに入れ、一時的にAzure Blob Storageに格納されます。 実際のデータがネットワークの境界を離れることはありません。

    5. メタデータは、Microsoft Purview データ マップに送信されます。

認証オプション

Microsoft Purview でデータ ソースをスキャンする場合は、資格情報を指定する必要があります。 Microsoft Purview は、統合ランタイムを使用して、データ ソースから資産のメタデータを読み取ることができます。 サポートされている認証の種類と必要なアクセス許可の詳細については、各 データ ソースの記事 を参照してください。 認証オプションと要件は、次の要因によって異なります。

  • データ ソースの種類。 たとえば、データ ソースがデータベースAzure SQL場合は、各データベースにdb_datareaderアクセスできるログインを使用する必要があります。 これは、ユーザー割り当てマネージド ID または Microsoft Purview マネージド ID です。 または、db_datareaderとしてSQL Databaseに追加Microsoft Entra IDのサービス プリンシパルを指定することもできます。

    データ ソースがAzure Blob Storageされている場合は、Azure ストレージ アカウントの Blob Storage データ閲覧者ロールとして追加Microsoft Entra IDで、Microsoft Purview マネージド ID またはサービス プリンシパルを使用できます。 または、ストレージ アカウントのキーを使用します。

  • 認証の種類。 管理オーバーヘッドを減らすために、Microsoft Purview マネージド ID を使用して可能な場合は Azure データ ソースをスキャンすることをお勧めします。 その他の認証の種類については、 Microsoft Purview 内でソース認証の資格情報を設定する必要があります。

    1. Azure キー コンテナー内にシークレットを生成します。
    2. Microsoft Purview 内でキー コンテナーを登録します。
    3. Microsoft Purview 内で、キー コンテナーに保存されているシークレットを使用して新しい資格情報を作成します。

  • スキャンで使用されるランタイムの種類。 現時点では、セルフホステッド統合ランタイムで Microsoft Purview マネージド ID を使用することはできません。

その他の考慮事項

  • パブリック エンドポイントを使用してデータ ソースをスキャンする場合、セルフホステッド統合ランタイム VM は、データ ソースと Azure エンドポイントへの送信アクセス権を持っている必要があります。
  • セルフホステッド統合ランタイム VM には 、Azure エンドポイントへの送信接続が必要です。

オプション 2: プライベート エンドポイントを使用する

他の PaaS ソリューションと同様に、Microsoft Purview は仮想ネットワークへの直接デプロイをサポートしていません。 そのため、ネットワーク セキュリティ グループ、ルート テーブル、その他のネットワーク依存アプライアンス (Azure Firewall など) など、オファリングのリソースで特定のネットワーク機能を使用することはできません。 代わりに、仮想ネットワークで有効にできるプライベート エンドポイントを使用できます。 その後、パブリック インターネット アクセスを無効にして、Microsoft Purview に安全に接続できます。

次のいずれかの要件がある場合は、Microsoft Purview アカウントにプライベート エンドポイントを使用する必要があります。

  • Microsoft Purview アカウントとデータ ソースには、エンドツーエンドのネットワーク分離が必要です。

  • Microsoft Purview アカウントへの パブリック アクセスをブロック する必要があります。

  • サービスとしてのプラットフォーム (PaaS) データ ソースはプライベート エンドポイントと共にデプロイされ、パブリック エンドポイントを通じてすべてのアクセスがブロックされました。

  • オンプレミスまたはサービスとしてのインフラストラクチャ (IaaS) データ ソースはパブリック エンドポイントに到達できません。

設計上の考慮事項

  • Microsoft Purview アカウントにプライベートで安全に接続するには、アカウントとポータルのプライベート エンドポイントをデプロイする必要があります。 たとえば、このデプロイは、API を介して Microsoft Purview に接続する場合や、Microsoft Purview ガバナンス ポータルを使用する場合に必要です。
  • プライベート エンドポイントを使用して Microsoft Purview ガバナンス ポータルに接続する必要がある場合は、アカウントとポータルの両方のプライベート エンドポイントをデプロイする必要があります。
  • プライベート接続を使用してデータ ソースをスキャンするには、Microsoft Purview 用に少なくとも 1 つのアカウントと 1 つのインジェスト プライベート エンドポイントを構成する必要があります。
  • DNS 要件を確認します。 ネットワーク上のカスタム DNS サーバーを使用している場合、クライアントは Microsoft Purview アカウント エンドポイントの完全修飾ドメイン名 (FQDN) をプライベート エンドポイントの IP アドレスに解決できる必要があります。

統合ランタイム オプション

プライベート接続を使用してデータ ソースをスキャンするには、 マネージド VNet 統合ランタイム または セルフホステッド統合ランタイムを使用できます。 詳細については、「 シナリオに適した統合ランタイム構成を選択する」を参照してください

  • 必要に応じて、マネージド VNet 統合ランタイムを使用してデータ ソースをスキャンし、コストと管理オーバーヘッドを削減することをお勧めします。

  • セルフホステッド統合ランタイムを使用する場合は、Microsoft Purview インジェスト プライベート エンドポイントがデプロイされているのと同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内にデプロイされている Windows 仮想マシンで、セルフホステッド統合ランタイムを設定して使用する必要があります。

  • オンプレミスのデータ ソースをスキャンするには、オンプレミスの Windows マシンまたは Azure 仮想ネットワーク内の VM にセルフホステッド統合ランタイムをインストールすることもできます。

  • Microsoft Purview でプライベート エンドポイントを使用する場合は、Microsoft Purview プライベート エンドポイントがデプロイされている Azure 仮想ネットワーク上のデータ ソースからセルフホステッド統合 VM へのネットワーク接続を許可する必要があります。

  • セルフホステッド統合ランタイムの自動アップグレードを許可することをお勧めします。 自動アップグレードを許可するには、Azure 仮想ネットワークまたは会社のファイアウォールで必要な送信規則を開いていることを確認します。 詳細については、「 セルフホステッド統合ランタイム ネットワーク要件」を参照してください。

認証オプション

  • 資格情報が Azure キー コンテナーに格納され、Microsoft Purview 内に登録されていることを確認します。

  • Azure キー コンテナーで作成する各シークレットに基づいて、Microsoft Purview で資格情報を作成する必要があります。 少なくとも、Azure のKey Vault リソースで Microsoft Purview のシークレットのアクセス権を取得して一覧表示する必要があります。 それ以外の場合、資格情報は Microsoft Purview アカウントでは機能しません。

現在の制限事項

  • インジェストプライベート エンドポイントとセルフホステッド統合ランタイムまたはマネージド VNet 統合ランタイムを使用してサブスクリプションまたはリソース グループ全体を使用して複数の Azure ソースをスキャンすることは、インジェストにプライベート エンドポイントを使用している場合はサポートされません。 代わりに、データ ソースを個別に登録してスキャンできます。

  • Microsoft Purview プライベート エンドポイントに関連する制限事項については、「 既知の制限事項」を参照してください。

  • Private Link サービスに関連する制限事項については、「Azure Private Link制限」を参照してください。

プライベート エンドポイントのシナリオ

単一仮想ネットワーク、単一リージョン

このシナリオでは、すべての Azure データ ソース、セルフホステッド統合ランタイム VM、Microsoft Purview プライベート エンドポイントが、Azure サブスクリプション内の同じ仮想ネットワークにデプロイされます。

オンプレミスのデータ ソースが存在する場合、Microsoft Purview プライベート エンドポイントがデプロイされている Azure 仮想ネットワークへのサイト間 VPN または Azure ExpressRoute 接続を介して接続が提供されます。

このアーキテクチャは、主に小規模な組織や、開発、テスト、概念実証のシナリオに適しています。

1 つの仮想ネットワーク シナリオでプライベート エンドポイントを持つ Microsoft Purview を示すスクリーンショット。

単一リージョン、複数の仮想ネットワーク

Azure 内の 2 つ以上の仮想ネットワークを一緒に接続するには、 仮想ネットワーク ピアリングを使用できます。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure バックボーン ネットワーク上に保持されます。

多くのお客様は、ハブアンドスポーク ネットワーク アーキテクチャを使用して、Azure でネットワーク インフラストラクチャを構築します。次の場所は次のとおりです。

  • ネットワーク共有サービス (ネットワーク仮想アプライアンス、ExpressRoute/VPN ゲートウェイ、DNS サーバーなど) は、ハブ仮想ネットワークにデプロイされます。
  • スポーク仮想ネットワークは、仮想ネットワーク ピアリングを介して共有サービスを使用します。

ハブアンドスポーク ネットワーク アーキテクチャでは、organizationのデータ ガバナンス チームに、仮想ネットワーク (ハブ) を含む Azure サブスクリプションを提供できます。 すべてのデータ サービスは、仮想ネットワーク ピアリングまたはサイト間 VPN 接続を介してハブ仮想ネットワークに接続されている他のいくつかのサブスクリプションに配置できます。

ハブアンドスポーク アーキテクチャでは、Microsoft Purview と 1 つ以上のセルフホステッド統合ランタイム VM をハブ サブスクリプションと仮想ネットワークにデプロイできます。 同じリージョン内の複数のサブスクリプションから、他の仮想ネットワークのデータ ソースを登録してスキャンできます。

セルフホステッド統合ランタイム VM は、アカウントとインジェストプライベート エンドポイントがデプロイされている同じ Azure 仮想ネットワークまたはピアリングされた仮想ネットワーク内にデプロイできます。

複数の仮想ネットワークのシナリオでプライベート エンドポイントを持つ Microsoft Purview を示すスクリーンショット。

必要に応じて、スポーク仮想ネットワークに別のセルフホステッド統合ランタイムをデプロイできます。

複数のリージョン、複数の仮想ネットワーク

データ ソースが 1 つ以上の Azure サブスクリプション内の複数の Azure リージョンに分散されている場合は、このシナリオを使用できます。

パフォーマンスとコストの最適化のために、データ ソースが配置されている各リージョンに 1 つ以上のセルフホステッド統合ランタイム VM をデプロイすることを強くお勧めします。

複数の仮想ネットワークと複数のリージョンのシナリオでプライベート エンドポイントを持つ Microsoft Purview を示すスクリーンショット。

マネージド Vnet ランタイムを使用してスキャンする

マネージド VNet ランタイムを使用して、プライベート ネットワーク内のデータ ソースをスキャンできます。 詳細については、「 Microsoft Purview アカウントでマネージド VNet を使用する」を参照してください。

マネージド VNet ランタイムを使用すると、ランタイム管理の管理オーバーヘッドを最小限に抑え、全体的なスキャン期間を短縮できます。

マネージド VNet ランタイムを使用してプライベート ネットワーク経由で Azure データ ソースをスキャンするには、データ ソースに Azure サブスクリプションにプライベート ネットワークが既に存在する場合でも、Microsoft Purview Managed Virtual Network内にマネージド プライベート エンドポイントをデプロイする必要があります。

マネージド VNet を使用した Microsoft Purview を示すスクリーンショット。

Managed VNet Runtime でサポートされていないオンプレミスのデータ ソースまたは Azure 内の追加のデータ ソースをスキャンする必要がある場合は、Managed VNet Runtime とセルフホステッド統合ランタイムの両方をデプロイできます。

マネージド VNet と SHIR を使用した Microsoft Purview を示すスクリーンショット。

プライマリ リージョンで Microsoft Purview を使用できない場合

Microsoft Purview は、サービス ソリューションとしての Azure プラットフォームです。 サポートされている任意の Azure リージョンの Azure サブスクリプション内に Microsoft Purview アカウントをデプロイできます。

プライマリ Azure リージョンで Microsoft Purview を使用できない場合は、セカンダリ リージョンを選択して Microsoft Purview アカウントをデプロイするときに、次の要素を考慮してください。

  • データ ソースがデプロイされているプライマリ Azure リージョンと、Microsoft Purview アカウントがデプロイされるセカンダリ Azure リージョン間の待機時間を確認します。 詳細については、「 Azure ネットワークラウンドトリップ待機時間の統計」を参照してください。
  • データ所在地の要件を確認します。 Microsoft Purview データ マップでデータ ソースをスキャンすると、メタデータに関連する情報が取り込まれており、Microsoft Purview アカウントがデプロイされている Azure リージョンのデータ マップ内に格納されます。 詳細については、「 メタデータが格納されている場所」を参照してください。
  • ユーザー アクセスまたはメタデータ インジェスト用のプライベート ネットワーク接続が必要な場合は、ネットワークとセキュリティの要件を確認します。 詳細については、「 プライマリ リージョンで Microsoft Purview を使用できない場合」を参照してください。

オプション 1: セカンダリ リージョンに Microsoft Purview アカウントをデプロイし、Azure データ ソースがあるプライマリ リージョンにすべてのプライベート エンドポイントをデプロイします。 このシナリオの場合:

  • これは、オーストラリア南東部がすべてのデータ ソースのプライマリ リージョンであり、プライマリ リージョンにすべてのネットワーク リソースがデプロイされている場合に推奨されるオプションです。
  • セカンダリ リージョン (オーストラリア東部など) に Microsoft Purview アカウントをデプロイします。
  • アカウント、ポータル、インジェストを含むすべての Microsoft Purview プライベート エンドポイントをプライマリ リージョン (オーストラリア南東部など) にデプロイします。
  • すべての [Microsoft Purview セルフホステッド統合ランタイム](../ manage-integration-runtimes.md) プライマリ リージョンの VM (オーストラリア南東部など)。 これにより、データ マップ スキャンは、データ ソースが配置され、Microsoft Purview アカウントが展開されているセカンダリ リージョンにメタデータのみが取り込まれるローカル リージョンで行われるので、リージョン間のトラフィックを削減するのに役立ちます。
  • メタデータ インジェストに Microsoft Purview Managed VNets を使用する場合、マネージド VNet ランタイムとすべてのマネージド プライベート エンドポイントは、Microsoft Purview がデプロイされているリージョン (オーストラリア東部など) に自動的にデプロイされます。

オプション 2: Microsoft Purview アカウントをセカンダリ リージョンにデプロイし、プライマリリージョンとセカンダリ リージョンにプライベート エンドポイントをデプロイします。 このシナリオの場合:

  • このオプションは、プライマリ リージョンとセカンダリ リージョンの両方にデータ ソースがあり、ユーザーがプライマリ リージョンを介して接続されている場合に推奨されます。
  • セカンダリ リージョン (オーストラリア東部など) に Microsoft Purview アカウントをデプロイします。
  • Microsoft Purview ガバナンス ポータルへのユーザー アクセスのために、プライマリ リージョン (オーストラリア南東部など) に Microsoft Purview ガバナンス ポータルのプライベート エンドポイントをデプロイします。
  • プライマリ リージョン (オーストラリア南東部など) に Microsoft Purview アカウントとインジェスト プライベート エンドポイントをデプロイして、プライマリ リージョン内のローカルでデータ ソースをスキャンします。
  • セカンダリ リージョン (オーストラリア東部など) に Microsoft Purview アカウントとインジェスト プライベート エンドポイントを展開し、セカンダリ リージョン内のローカルでデータ ソースをスキャンします。
  • [Microsoft Purview セルフホステッド統合ランタイム](../manage-integration-runtimes.md) プライマリ リージョンとセカンダリ リージョンの両方の VM。 これにより、データ マップ スキャン トラフィックをローカル リージョンに保持し、セカンダリ リージョン (オーストラリア東部など) で構成されているMicrosoft Purview データ マップにメタデータのみを送信するのに役立ちます。
  • メタデータ インジェストに Microsoft Purview Managed VNets を使用する場合、マネージド VNet ランタイムとすべてのマネージド プライベート エンドポイントは、Microsoft Purview がデプロイされているリージョン (オーストラリア東部など) に自動的にデプロイされます。

プライベート エンドポイントを使用した DNS 構成

複数の Microsoft Purview アカウントの名前解決

organizationでプライベート エンドポイントを使用して複数の Microsoft Purview アカウントをデプロイして管理する必要がある場合は、次の推奨事項に従うことをお勧めします。

  1. Microsoft Purview アカウントごとに少なくとも 1 つの アカウント プライベート エンドポイントをデプロイします。
  2. Microsoft Purview アカウントごとに少なくとも 1 つの インジェスト プライベート エンドポイントのセットをデプロイします。
  3. Azure 環境のいずれかの Microsoft Purview アカウントに 1 つの ポータル プライベート エンドポイントをデプロイします。 ポータル プライベート エンドポイント用に 1 つの DNS A レコードを作成して、web.purview.azure.comを解決します。 ポータルのプライベート エンドポイントは、同じ Azure 仮想ネットワーク内のすべての purview アカウント、または VNet ピアリングを介して接続された仮想ネットワークで使用できます。

複数の Microsoft Purview アカウントのプライベート エンドポイントと DNS レコードを処理する方法を示すスクリーンショット。

このシナリオは、複数の Microsoft Purview アカウントが複数のサブスクリプションと、VNet ピアリングを介して接続されている複数の VNet に展開されている場合にも適用されます。 ポータル プライベート エンドポイントは、主に Microsoft Purview ガバナンス ポータルに関連する静的資産をレンダリングするため、Microsoft Purview アカウントに依存しないため、VNet が接続されている場合、Azure 環境内のすべての Microsoft Purview アカウントにアクセスするために必要な ポータル プライベート エンドポイントは 1 つだけです。

複数の vnet 内の複数の Microsoft Purview アカウントのプライベート エンドポイントと DNS レコードを処理する方法を示すスクリーンショット。

注:

Microsoft Purview アカウントが分離されたネットワーク セグメント化で展開されるシナリオでは、Microsoft Purview アカウントごとに個別の ポータル プライベート エンドポイントを展開する必要がある場合があります。 Microsoft Purview ポータル は、顧客情報を含まない、すべての顧客向けの静的なコンテンツです。 必要に応じて、パブリック ネットワーク (ポータル プライベート エンドポイントなし) を使用して、エンド ユーザーがインターネットの起動を許可されている場合に web.purview.azure.com を起動できます。

オプション 3: プライベート エンドポイントとパブリック エンドポイントの両方を使用する

データ ソースのサブセットがプライベート エンドポイントを使用するオプションを選択できます。同時に、次のいずれかをスキャンする必要があります。

  • サービス エンドポイントで構成されているその他のデータ ソース
  • インターネット経由でアクセスできるパブリック エンドポイントを持つデータ ソース

インジェスト プライベート エンドポイントを使用して一部のデータ ソースをスキャンし、パブリック エンドポイントまたはサービス エンドポイントを使用して一部のデータ ソースをスキャンする必要がある場合は、次のことができます。

  1. Microsoft Purview アカウントにプライベート エンドポイントを使用します。
  2. Microsoft Purview アカウントのすべてのネットワークから [パブリック ネットワーク アクセス] を [有効] に設定します。

統合ランタイム オプション

  • プライベート エンドポイントで構成された Azure データ ソースをスキャンするには、Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているのと同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内にデプロイされている Windows 仮想マシンで、セルフホステッド統合ランタイムを設定して使用する必要があります。

    Microsoft Purview でプライベート エンドポイントを使用している場合は、Microsoft Purview プライベート エンドポイントがデプロイされている Azure 仮想ネットワーク上のデータ ソースからセルフホステッド統合 VM へのネットワーク接続を許可する必要があります。

  • パブリック エンドポイントを許可するように構成されている Azure データ ソースをスキャンするには、Azure 統合ランタイムを使用できます。

  • オンプレミスのデータ ソースをスキャンするには、オンプレミスの Windows マシンまたは Azure 仮想ネットワーク内の VM にセルフホステッド統合ランタイムをインストールすることもできます。

  • セルフホステッド統合ランタイムの自動アップグレードを許可することをお勧めします。 自動アップグレードを許可するには、Azure 仮想ネットワークまたは会社のファイアウォールで必要な送信規則を開いていることを確認します。 詳細については、「 セルフホステッド統合ランタイム ネットワーク要件」を参照してください。

認証オプション

  • パブリック エンドポイントを許可するように構成されている Azure データ ソースをスキャンするには、データ ソースの種類に基づいて任意の認証オプションを使用できます。

  • インジェスト プライベート エンドポイントを使用して、プライベート エンドポイントで構成されている Azure データ ソースをスキャンする場合:

    • Microsoft Purview マネージド ID は使用できません。 代わりに、データ ソースの種類に基づいて、サービス プリンシパル、アカウント キー、または SQL 認証を使用します。

    • 資格情報が Azure キー コンテナーに格納され、Microsoft Purview 内に登録されていることを確認します。

    • Azure Key Vaultで作成する各シークレットに基づいて、Microsoft Purview で資格情報を作成する必要があります。 少なくとも、Azure のKey Vault リソースで Microsoft Purview のシークレットに対する get アクセスとリスト アクセスを割り当てます。 それ以外の場合、資格情報は Microsoft Purview アカウントでは機能しません。

オプション 4: インジェストにのみプライベート エンドポイントを使用する

次の操作を行う必要がある場合は、このオプションを選択できます。

  • インジェスト プライベート エンドポイントを使用して、すべてのデータ ソースをスキャンします。
  • パブリック ネットワークを無効にするには、マネージド リソースを構成する必要があります。
  • パブリック ネットワークを介して Microsoft Purview ガバナンス ポータルへのアクセスを有効にします。

このオプションを有効にするには:

  1. Microsoft Purview アカウントのインジェスト プライベート エンドポイントを構成します。
  2. Microsoft Purview アカウントインジェスト専用 (プレビュー) で、[パブリック ネットワーク アクセス] を [無効] に設定します。

統合ランタイム オプション

オプション 2 の推奨事項に従います。

認証オプション

オプション 2 の推奨事項に従います。

セルフホステッド統合ランタイム ネットワークとプロキシに関する推奨事項

オンプレミスおよび Azure ネットワーク全体でデータ ソースをスキャンするには、このドキュメントで前述したシナリオのいずれかに対して、Azure VNet またはオンプレミス ネットワーク内に 1 つまたは複数の セルフホステッド統合ランタイム仮想マシン をデプロイして使用する必要がある場合があります。

  • 管理を簡略化するために、可能な場合は Azure IR と Microsoft Purview Managed VNet IR を使用してデータ ソースをスキャンします。

  • セルフホステッド統合ランタイム サービスは、ポート 443 経由でパブリックまたはプライベート ネットワークを介して Microsoft Purview と通信できます。 詳細については、「 セルフホステッド統合ランタイム ネットワーク要件」を参照してください。

  • 1 つのセルフホステッド統合ランタイム VM を使用して Microsoft Purview 内の 1 つまたは複数のデータ ソースをスキャンできますが、セルフホステッド統合ランタイムは Microsoft Purview にのみ登録する必要があり、Azure Data FactoryやAzure Synapseに同時に使用することはできません。

  • 1 つの Microsoft Purview アカウントで、1 つまたは複数のセルフホステッド統合ランタイムを登録して使用できます。 データ ソースが存在するリージョンまたはオンプレミス ネットワークごとに、セルフホステッド統合ランタイム VM を少なくとも 1 つ配置することをお勧めします。

  • セルフホステッド統合ランタイム VM ごとに必要な容量のベースラインを定義し、必要に応じて VM 容量をスケーリングすることをお勧めします。

  • 可能であれば、セルフホステッド統合ランタイム VM と Microsoft Purview とそのマネージド リソース間のネットワーク接続をプライベート ネットワーク経由で設定することをお勧めします。

  • 自動更新が有効になっている場合は、download.microsoft.com への送信接続を許可します。

  • セルフホステッド統合ランタイム サービスは、セルフホステッド統合ランタイム VM が Azure VNet または ExpressRoute またはサイト間 VPN 接続を介して Azure に接続されているオンプレミス ネットワークにデプロイされている場合、送信インターネット接続を必要としません。 この場合、スキャンとメタデータの取り込みプロセスはプライベート ネットワークを介して実行できます。

  • セルフホステッド統合ランタイムは、Microsoft Purview とそのマネージド リソースを直接、または プロキシ サーバーを介して通信できます。 セルフホステッド統合ランタイム VM が Azure VNet 内にある場合、または ExpressRoute またはサイト間 VPN 接続を介して接続されている場合は、プロキシ設定を使用しないでください。

  • プロキシ設定でセルフホステッド統合ランタイムを使用する必要がある場合は、サポートされているシナリオを確認します。

次の手順